Vandaag las ik op Webwereld dat de raadsleden van gemeente Nijmegen een iPad zullen krijgen om kosten te besparen op papier. Raadsleden zullen daarbij naar verluid gebruik gaan maken van de online dienst Dropbox voor distributie en opslag van documenten. Zelf gebruik ik sinds ongeveer een half jaar een Amazon Kindle als (ver superieure) vervanging van papier en ons kantoor gebruikt al een poos Backpack en Highrise van 37Signals voor online document- en relatiebeheer.
Persoonlijk vind ik het schitterend om te zien hoe gebruiksvriendelijk en algeheel goed dit soort webapplicaties tegenwoordig zijn, wat ongetwijfeld veel te maken heeft met het feit dat dit soort markten veelal een 'winner takes all' dynamiek kennen waarbij de beste applicatie ter wereld in zijn soort bijna alle klanten krijgt (getuige de astronomische marktaandelen van bedrijven als Facebook en Google). In de cloud woedt er dus een continue, felle concurrentiestrijd voor wie het beste, meest bruikbare en waardevolle product voor de klant kan neerzetten – zolang een handjevol telecomboeren daar niet voor eigen gewin de winnaars uit mogen pikken, maar dat is een andere discussie: die over netneutraliteit.
Gebruiksgemak staat bij cloud-diensten veelal voorop en doordat men gewend begint te raken aan zulke makkelijke, handige diensten voor persoonlijk gebruik, wil men deze ook steeds meer zakelijk gaan gebruiken. Vele van deze producten, denk bijvoorbeeld aan Gmail en vervolgens de Google Apps voor zakelijk gebruik, worden daarvoor speciaal geschikt gemaakt, maar toch blijft een heikel punt van cloud-diensten dat de dienstverlener de feitelijke controle krijgt over data die voor de klant van essentieel belang zijn.
De gemeente Nijmegen lijkt zich weinig zorgen te maken, getuige de quote van commissielid Rob Jetten (D66): “Dropbox is veiliger dan de database van de gemeente.” Dat zou zeker zo kunnen zijn – sterker nog het lijkt me aannemelijk als het om resistentie tegen technische calamiteiten, hacks en dergelijke gaat – maar voordat de gemeentes van Nederland de gegevens die dit land draaiend houden allemaal op servers in de Verenigde Staten zetten, dienen zij toch liever nog een aantal extra maatregelen te treffen.
Zo hebben wij zelf 37Signals (met meer dan 1.000.000 klanten) er gelukkig toe kunnen overhalen om zich te binden aan de Safe Harbor regels. Dat moest ook wel, want Europese bedrijven mogen onder de geldende dataprotectiewetgeving geen webapps gebruiken die worden gehost in een land waarin geen sterke privacywetgeving geldt – of er moeten allerlei ingewikkelde bewerkersovereenkomsten gesloten worden waarbij monitoringrechten en garanties worden gesteld over gegevensbescherming. Omdat de Amerikaanse wet niet voldoet aan de hoge eisen van de EU, is Safe Harbor bedacht, waar Amerikaanse bedrijven zich vrijwillig aan kunnen binden om zodoende toch te voldoen aan de Europese eisen.
Maar bureaucratische regeltjes zijn niet de enige reden om goed na te denken voordat je je kritieke gegevens zomaar aan de overkant van de oceaan of op een geheel onbekende locatie in de cloud gaat parkeren. Wat als de leverancier failliet gaat? Heb je juridisch het recht en feitelijk de mogelijkheid om eenvoudig lokale kopieën van de gegevens te maken? Hoe lang mag de dienstverlener de gegevens bewaren? Wat als je eenmaal afhankelijk bent van de diensten en de prijzen gaan plots sterk omhoog? Zijn de gegevens en configuratiebestanden ook compatible met andere applicaties zodat je eventueel nog over kunt stappen? Aangezien de dienstverlener in een ander land zit, zal het juridisch handhaven van enige rechten daarbij een stuk lastiger zijn. En ten slotte (last en waarschijnlijk wél least), hebben overheden en hun opsporingsinstanties en veiligheidsdiensten doorgaans bevoegdheid de gegevens op te vorderen, waardoor de gegevens eventueel onderwerp van buitenlandse spionage zouden kunnen worden.
In Europa is onze Neelie Kroes druk doende om te helpen dit soort vraagstukken op te lossen, zodat de vele voordelen van cloud computing eenvoudiger en veiliger te benutten zijn. Hoewel de uitwerking nog moet worden afgewacht is het initiatief goed.
Alleen jammer dat de EU vooralsnog zulk zwak beleid heeft inzake netneutraliteit en uitrol van glasvezel, want wat mij de werkelijke reden lijkt dat er in de laatste jaren geen of amper voorbeelden zijn van ernstige hacks of datalekken van Gmail, Facebook, 37Signals suite, Dropbox en dergelijke, is dat het mondiale en geheel vlakke speelveld voor mededinging op het internet iedere fout genadeloos af zou straffen. In mededinging als panacea heb ik nooit geloofd, maar de vruchten ervan op het internet zijn uiterst zoet. Zo ontving ik de mail van 37Signals waarin zij aangaven zich toch maar aan te melden voor Safe Harbor, kort nadat ik in hun support evaluation form (powered by Amazon) mijn teleurstelling had geuit dat men wel beweerde geheel veilig te zijn maar kennelijk toch niet de nodige formaliteiten wilde voltooien om te zorgen dat Europese klanten de wet niet overtreden.
